Réseau Fon et Fonera

[jdh]

Je viens de m'inscrire sur le réseau FON et de commander la fonera.

Y a-t-il des ixusiens qui ont essayé ?


A titre perso, je viens d'ajouter une carte ethernet supplémentaire dans ma passerelle Linux (Debian + Shorewall). Il ne me sera pas très difficile de bien séparer ma zone "Green" de cette zone "Fon". La question que je me pose est de posittionner à quel niveau le filtrage en sortie cette zone "Fon" ! (Je fais partie de ceux qui pensent qu'il FAUT TOUJOURS filtrer en sortie, étonnant non !)

Je présume qu'il faut fournir pour la fonera (et les foneros)
- un dhcp,
- un relais dns (sauf bien sur sur ma zone perso),
- un accès http/https/ftp/pop.

Il me reste pas mal de doute :
- fournir un accès à emule et autres p2p : c'est bien sur non !
- relayer smtp ? me parait peu sage : ce serait la porte ouverte au spam à partir de mon ip ! (j'en reçois déjà pas mal !)

Y a-t-il des ixusiens qui ont déjà réfléchi à ces questions ?

Je mettrais sur ce fil la progression de ma réflexion ...

[HaM]

Effectivement j'y ai reflechi tout comme toi.

Et personnellement sur ma zone Wi-fi je ne laisse sortir que le http/https/ftp et à la rigueur SSH/IRC.

[jdh]

Le point sur "la fonera" !

Commandé le 28 octobre (paiement par carte bleue via paypal ... partenaire de FON), elle est arrivé le 7 novembre (contre 3 semaines annoncées).

Boîte complete : fonera + câble (croisé) plat (oui oui) + alim + cdrom + autocollants. Elle est parfaitement configurée (je le verrais plus tard).

Installation :
J'utilise une Debian Sarge avec Shorewall. J'avais déjà ajouté une carte ethernet dédiée. J'ajoute une range à mon DHCP pour qu'il fournisse une adresse DHCP (mode par défaut de la fonera) sur cette interface. Je vérifie les "acl" de BIND afin que le relais DNS soit correctement fourni (et pas mon propre domaine modifié pour ma zone "verte"). J'ajoute les règles suivantes dans mon fichier "rules" :

# fon -> fw : ping,dns
ACCEPT fon fw icmp 8 # ping
ACCEPT fon fw udp domain # dns
ACCEPT fon fw tcp domain # dns

# fon -> net : ping,dns,http,https,ftp,pop,smtp,ssh
ACCEPT fon net icmp 8 # ping
ACCEPT fon net udp domain # domain
ACCEPT fon net tcp domain # domain
ACCEPT fon net tcp http,https,ftp,pop3,smtp,ssh # http,...

Je redémarre Shorewall et je branche la fonera. Les voyants s'illuminent dont le voyant Wifi. J'allume mon portable. Je vois bien les 2 SSID : FON_AP (publique et ouvert), my_place (privé et WPA). J'essaie "my_place" et j'ai un souci : le driver propriétaire de ma carte pcmcia ouvre, ferme, ouvre, ferme : le pilotage direct par Windows est lui Ok. Je passe sur "FON_AP" et cela ouvre bien sur la page "fr.fon.com" : je m'identifie (ok), j'enregistre le routeur (ok), mais je ne peux pas aller sur d'autres pages (sauf Google).

Un "tcpdump" plus tard, j'ajoute la ligne absolument nécessaire

ACCEPT fon net udp 1812 # radius (necessaire a FON)

Et là tout roule !

Les 2 SSID fonctionne très bien : sur SSID publique, identification via la page fon puis accès tous sites (à vérifier les autres protocoles), aucune identification sur SSID privé (sauf clé WPA bien sur !) et accès immédiat à tous sites.


Donc une super impression ! (Reste à mettre la Fonera dans une boite Tupperw... à l'extérieur merci le câble plat !)

Il me reste à trouver un moyen de filtrer "smtp" : je ne veux pas me faire griller comme spammeur ! (Ce que j'ai observé m'indique un firmware OpenWrt et le produit Chilispot d'où Radius)

[jdh]

Suite ...

1er bilan de l'expérience FON :

- la fonera ne coute pas cher (~17€ en France port compris),
- elle fournit 2 signaux (SSID) : l'un privé (en wpa), l'autre public (ouvert mais sécurisé),
- elle se connecte soit directement sur une box ou un routeur(/modem) soit sur un switch,
- elle se connecte soit en DHCP, soit en static, soit en PPPOE,
- elle fournit un DHCP automatique sur chaque signal (192.168.10.x/privé et 192.168.186.x/public),
- elle masquerade le trafic venant du signal public,
- elle permet ou non de relier ce qui est sur le port wan avec ce qui vient du signal privé (masquerade ?),
- le filtrage est aisé à mettre en oeuvre en zone bleue (ne pas oublier d'ouvrir udp/1812=radius !).

Bref, je ne vois plus aucune raison d'acheter une carte wifi dans un box. Et je ne vois pas de raison de se priver d'un "routeur" wifi. Sans compter qu'en se mettant en "linus", on peut ensuite surfer "gratuitement" dans pas mal de grande villes.

[Theoreme]

Salut les Fonfons

Je viens aussi de passer à la Fonera ....en remplacement de mon AP WAP54G.
ca fonctionne bien pour le moment et sans souci de conf sous IPCOP.

il faut juste penser a valider l'IP de la Fonera sur le réseau Blue.

Et le vu que c'etait Noël, elle coutait rien !!!

Mais bon, je partage pas grand chose pour le moment, vu que le signal ne dépasse pas la taille de mon terrain.

[Franck78]

Salut,

Il devrait y avoir quelques fonera de plus car elle est (était) offerte en particulier sur 'solutions linux'. Je ne pense pas que l'offre promo soit limitée dans car en février elle était soit disant terminée...
Aussi, ceux qui veulent tenter d'obtenir la boiboite peuvent essayer (avec mon code ou en demander un autre?):

Félicitations ! Vous avez participé au jeu FON sur le salon Solutions Linux 2007 et allez recevoir gratuitement votre Fonera, le routeur WiFi de FON.
Avec FON, partagez votre connexion Internet haut débit et rejoignez ainsi la communauté des Foneros. Partout dans le monde vous pourrez vous connecter gratuitement aux dizaines de milliers de Points d'accès FON.
Pour recevoir votre Fonera gratuite, inscrivez-vous d'abord sur http://www.fon.com. Une fois inscrit, rendez vous sur la boutique en ligne de FON https://shop.fon.com et saisissez votre code promotionnel ci-dessous pour commander votre routeur, livré gratuitement chez vous.
CODE PROMOTIONNEL* : 743346117665504
Pour toute information supplémentaire, n'hésitez pas à nous contacter à info-fr@fon.com
A bientôt dans la Communauté FON!
Jean-Bernard MAGESCAS
Président
FON France
www.fon.com
*code valable => 15 février

[iraysyvalo]

Suite ...

1er bilan de l'expérience FON :

- la fonera ne coute pas cher (~17€ en France port compris),
- elle fournit 2 signaux (SSID) : l'un privé (en wpa), l'autre public (ouvert mais sécurisé),
- elle se connecte soit directement sur une box ou un routeur(/modem) soit sur un switch,
- elle se connecte soit en DHCP, soit en static, soit en PPPOE,
- elle fournit un DHCP automatique sur chaque signal (192.168.10.x/privé et 192.168.186.x/public),
- elle masquerade le trafic venant du signal public,
- elle permet ou non de relier ce qui est sur le port wan avec ce qui vient du signal privé (masquerade ?),
- le filtrage est aisé à mettre en oeuvre en zone bleue (ne pas oublier d'ouvrir udp/1812=radius !).

Bref, je ne vois plus aucune raison d'acheter une carte wifi dans un box. Et je ne vois pas de raison de se priver d'un "routeur" wifi. Sans compter qu'en se mettant en "linus", on peut ensuite surfer "gratuitement" dans pas mal de grande villes.

De passage. Salut a tous.

J'ai eu la WRT54G y a longtemps. Il y avait pas mal de problemes qui m'ont laisse une impression mitigee surtout en mode linus et pratiquement aucune reponse claire sur les forums Fon d'alors sur toutes les questions qui fusaient la-bas.

Qu'y-a-t-il exactement dans la nouvelle Fonera ? Le canal public est securise comment ? Cote OS, est-ce une boite noire ?

[tomtom]

Je l'ai eu il n'y a pas longtemps et je ne connais pas ce que tu appelles "nouvelle", mais voici mes réponses :

- Aucun problème de connexion, j'ai essayé a partir d'"un autre point FON sans problème.
- L'adaptateur chauffe un peu (beaucoup)
- Ca ressemble très fort à un WRT54GC, mais avec une seule interface réseau
- Pas de boite noire, il s'agit tout simplement d'openWRT, tout les packages fonctionnent dessus et il n'est pas très dur de trouver comment activer le SSH pour faire ce que l'on veut dessus
- Le réseau public est en clair, l'accès est active via une authentification radius sur les serveurs de FON


On peut tout modifier à la main sans soucis, et à 0 euros (code reduc 20minutes) j'ai abandonné mon vieux WRT54G. (mais il ne faut pas avoir besoin du switch).

Je n'autorise en sortie que le port 80 pour le moment, j'hesite un peu sur la conduite à adopter pour la suite.... Il va falloir trouver un moyen de filtrer, ou alors que la manip soit légale vis à vis de l'operateur ADSL car je ne tiens pas à me retrouver en prison à cause d'un FONERO un peu impurdent...
En même temps, le port 80 est bien sufisant pour faire pas mal de saletés, il faudrait sans doute y adjoindre d'une manière ou d'une autre du filtrage.
Je reflechis...


t.

[iraysyvalo]

Salut.

J'entendais par nouvelle Fonera les boitiers blancs qu'ils envoient maintenant car avant ils envoyaient carrement les Linksys (dans leur livree d'origine).

OK, merci pour ces precisions.

[Theoreme]

Oui oui,

c'est bien ce dont parle Tomtom,
le petite boite blanche avec la mini antenne.

Franchement , moi aussi j'ai laissé mon WAP54G se reposer un peu ....

Amicalement.